Hallo liebe Leute,
zur Zeit beschäftige ich mich in der Firma damit, ESET auf Terminalservern aus zu rollen und wollte mal meine Erfahrungen teilen.
WICHTIG: hierfür wird unbedingt der ESET REMOTE ADMINISTRATOR benötigt, sowie der dazugehörige MANAGMENT SERVER!
Vorher sollte die Kommunikation zwischen NOD Client und dem Management Server gewährleistet sein!
[hr]
Optional ist sollte man sich überlegen, ob man die Standard Tasks von Eset anpasst. Bei jeder Anmeldung eines Benutzers wird ein "Smart-Scan" gestartet. Wenn sich 10 User gleichzeitig Anmelden (und das sollte wohl bei Terminalservern eher üblich denn unüblich sein) startet Eset entsprechend viele Scans - und saugt dem Terminalserver den Saft weg.
Umgehen kann man das, wenn man ein Installationspaket mit spezieller Konfiguration erstellt.
Methode A: Es sind noch keine Terminalsserver installiert:
Hierzu kann man grad mal seinen lokalen Client missbrauchen. Also, ab in die GUI und Taste F5 gedrückt. Unter "Tools -> Taskplaner" den haken rein und zurück zur GUI. Wenn man nicht schon im erweiterten Modus ist, dann kann man unten links von der GUI dort hinschalten. Jetzt kann man unter TOOLS (in der Gui) und Taskplaner die Tasks anpassen. Es reicht einfach den Haken raus zu nehmen. Es gibt (meine ich) auch einen Updatetask bei der Anmeldung den man raus nehmen sollte.
Wenn das erledigt ist, sollte man in den RemoteAdministrator (ERA) gehen, sich den Client aussuchen und mittels Rechtsklick -> Daten anfordern -> Konfiguration anfordern wählen.
Nach der nächsten synchronisation hat der Server die Info. (beschleunigen kann man den sync auf dem Client, einfach F5 unter "Allgemein" und "Remote Administrator" den Intervall auf "0" setzten. Dann sollte der Client in 10 Sekunden Kontakt aufnehmen.)
Doppelklickt im ERA auf den Client und dort auf die "Konfiguration"-Karteikarte, wo man diese Speichern kann. Jetzt kann man, im ERA direkt, unter "Extras" den Konfigurationseditor aufrufen und die Datei dort laden und bearbeiten.
Wenn man das erledigt hat, muss man ein Installationspaket mit der Konfiguration erstellen. Hierzu gehen wir in die Remoteinstallation im ERA. Hier mittels rechtsklick in die Paketeverwaltung. Dort findet man den Punkt "Konfigurations ... auswählen / bearbeiten" womit die eben gespeicherte Konfig geladen werden kann. Wählt also ein Paket aus (ruhig ein vorhandenes) und Speichert es Unter "Terminalserver" oder so. Gebt dem Paket eure Konfig mit und speicherts ab.
Methode B: Es sind schon Terminalserver installiert:
Holt euch die Konfiguration eines Terminalsservers (siehe Methode A), editiert Sie im Konfigurationseditor (s. Meth A), speichert sie ab und erstellt einen KonfigurationsTASK im ERA. Bügelt den Task mit der Konfiguration über alle Terminalserver. Jetzt sollten diese die Tasks bei Anmeldung deaktiviert haben.
[hr]
Es gibt eine "Anleitung" in der KB von Eset: How do I disable the graphical user interface
Da während der Installation schon GUI-Instanzen für die aktuell angemeldeten Benutzern gestartet wurden, sollten diese beendet werden, am besten mit: pskill.exe von der Sysinternals Suite wie folgt gestartet: pskill REMOTEpc egui.exe
Hier wird die Benutzeroberfläche (des kleine grüne Eset-Symbol) deaktiviert. Für Terminalserver die bisher einzige Möglichkeit, den Usern den Zugriff auf den Scanner zu verwehren.
Vorteile:
- Die Nutzer können keine Scans starten und damit nicht den Server lahmlegen, wenn 2 bis X Nutzer scannen lassen
[/*]
Nachteile:
- Die Nutzer bekommen keine Meldungen mehr - und wissen auch nicht, WARUM die Anwendung jetzt nicht geht
[/*] - bei On-Demand-Scans bekommen die User keine Rückmeldung, ob infiziert, oder ob nicht.
[/*]
Leider ist es mit Eset in der Version 4.2.71.2 nicht möglich, die Zugriffe auf die Benutzeroberfläche komplett einzuschränken, oder optimal in 2 Bereiche zu trennen. Schön wäre es wenn man ein 2tes Passwort für die Benutzeroberfläche (für die Bereiche: Prüfung, Quarantäne, Update) eintragen könnte, oder alternativ diese Bereich variabel mit unter das schon einstellbare Passwort nehmen könnte.
Ich könnte mir aber auch ein besseres handling von mehreren angestoßenen Scans vorstellen. Z.b. wenn 10 Benutzer einen Scan starten, dass Eset erkennt ob es alles die gleichen Scans sind, oder dieser sogar schon läuft und keine weiteren mehr startet, beziehungsweise nur einen davon laufen lässt.
